1. Постановка задачи
Дано
Debian-сервер «из коробки» (установлен из дистрибутива)
Задача
Организовать работу нескольких проектов на сервере, чтобы люди, которые ими занимаются, не имели доступа к соседним проектам:
- Ограничить возможность обзора файловой системы определенной папкой для пользователя проекта.
- Ограничить возможность запуска бинарников пользователями
- Ограничить возможность открытия портов на сервере (нужно как-то по другому сформулировать)
- Автоматизировать добавление пользователя в систему: создание папки, конфига apache, пользователей mysql или postgres
2. Решение
- 2.0 Обновление системы
- 2.1 SSH
- 2.2 Файловая система
- 2.3 Apache
- 2.3.1 Права пользователей [apache2-mpm-itk ]
- 2.3.2 Отдельные tmp для каждого сайта
- 2.3.3 Sendmail
- 2.4 FTP
- 2.5 MySQL + Postgres
- 2.6 Firewall
- 2.7 chroot
- 2.8 Автоматизация
2.0 Обновляемся
Ставим свежие версии пакетов. Вот мой список репозиториев:
# file: /etc/apt/sources.list
# Yandex
deb http://mirror.yandex.ru/debian/ lenny main
deb http://mirror.yandex.ru/debian/ lenny contrib non-free
deb-src http://mirror.yandex.ru/debian/ lenny main
deb-src http://mirror.yandex.ru/debian/ lenny contrib non-free
# Security fix
deb http://security.debian.org/ lenny/updates main
deb http://security.debian.org/ lenny/updates contrib non-free
deb-src http://security.debian.org/ lenny/updates main
deb-src http://security.debian.org/ lenny/updates contrib non-free
debian:~# apt-get update
debian:~# apt-get dist-upgrade
2.1 Генерируем ключи для SSH
Дабы исключить возможность перехвата парольной фразы, мы сгенерируем rsa ключи для входа на сервер.
neoveneficus@book:~$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/neoveneficus/.ssh/id_rsa):
/home/neoveneficus/.ssh/id_rsa already exists.
Overwrite (y/n)? y
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/neoveneficus/.ssh/id_rsa.
Your public key has been saved in /home/neoveneficus/.ssh/id_rsa.pub.
The key fingerprint is:
cb:07:dd:67:21:37:ab:93:e1:60:40:ce:0e:b8:b8:e3 neoveneficus@book
The key's randomart image is:
+--[ RSA 2048]----+
| . |
| . + |
|. . + . + |
|.. o . . + + |
|+ . o S . o o |
|.o . + = . o |
|.E . * o |
| . o |
| . |
+-----------------+
Обратите внимание — ключи генерируются на Вашей рабочей машине, а затем публичный ключ заливается на сервер:
neoveneficus@book:~/.ssh$ scp ~/.ssh/id_rsa.pub root@217.212.252.146:.ssh/authorized_keys
neoveneficus@book:~/.ssh$ cat ~/.ssh/id_rsa.pub | ssh root@217.212.252.146 "cat > ~/.ssh/authorized_keys; chmod 600 ~/.ssh/authorized_keys"
Теперь мы сможем заходить на сервер — по ключу, с паролем или без — в зависимости от Ваших настроек. Хочется подчеркнуть, что если Вы сгенерировали ключи без пароля, то уровень безопасности сервера эквивалентен уровню безопасности Вашего секретного ключа на Вашей машине. Будьте внимательны и берегите ключ.
2.2 Файловая система. Права пользователей.
Поговорим про файловую систему. Я предлагаю выделить для наших сайтов отдельную папку в корне файловой системы.
debian:~# cd /
debian:/# mkdir -m 755 web
Домашние папки наших пользователей будут такого вида:
- /web/site1
- /web/site2
Создаем пользователей и расставляем права:
debian:~# useradd site1 -b /web/ -m -U -s /bin/false
debian:~# passwd site1
debian:~# chmod 754 /web/site1
debian:~# mkdir -p -m 754 /web/site1/public_html/www
debian:~# mkdir -p -m 777 /web/site1/tmp
debian:~# chmod +t /web/site1/tmp
debian:~# chown -R site1:site1 /web/site1/
Пользователь site1 будет иметь домашнюю папку /web/site1. Ключ -m означает, что папка будет создана автоматически. -U — так же будет создана одноименная группа, куда пользователь будет помещен. Пользователь не будет иметь шелла. Все, что будет доступно из веба — будет находится в папке public_html. Если когда-нибудь захочется иметь поддомены — разместим их в папках рядом с www.
2.3 Apache
2.3.1 Права пользователей. Модификация Apache [apache2-mpm-itk]
Как нам известно, по умолчанию web-сервер apache работает от одного пользователя для всех сайтов, находящихся на сервере. А это означает, что, воспользовавшись web-шеллом, можно прочитать файлы соседних проектов.
Для исправления этого недоразумения нам понадобится установить модифицированную версию аpache. Пакет называется apache2-mpm-itk. Установив пакет, мы получим возможность в конфигах файла указывать, от какого пользователя и группы должен работать apache при обработке сайта.
debian:~# apt-get install apache2-mpm-itk
Пользователь и группа задается строкой в конфиге:
AssignUserId site1 site1
В тоже время мы хотим, чтобы, используя web-шелл, нельзя было править файлы нашего проекта, кроме тех, на которыx стоят права o+w.
drwxr-xr-- 2 site1 site1 4096 Мар 5 10:17 .
drwxr-xr-x 3 site1 site1 4096 Мар 5 10:14 ..
-rwxr-x--- 1 site1 site1 0 Мар 5 10:14 index.php
-rwxrw---- 1 site1 site1 0 Мар 5 10:17 tmp.txt
Для этого в нашем конфиге мы будем писать:
AssignUserId www-data site1
Таким образом apache сможет прочитать index.php, выполнить и отдать в браузер, но не сможет изменить его. А tmp.txt изменить сможет.
Важный момент — нужно запретить консоль у пользователя www-data
debian:~# usermod -s /bin/false www-data
2.3.2 Отдельный tmp для каждого сайта
Предотвращаем инклуд сессий с соседнего сайта. + Запрещаем php выходить выше пользовательской домашней дирректории.
В конфиг нашего сайта нужно добавить диррективы open_basedir, upload_tmp_dir, session.save_path
Получаем такой минималистичный конфиг:
# file: /etc/apache2/sites-available/site1
<VirtualHost *:80>
DocumentRoot "/web/site1/public_html/www/"
ServerName "test1"
ErrorLog /web/site1/error_log
CustomLog /web/site1/access_log combined
AssignUserId www-data site1
php_admin_value open_basedir "/web/site1/:."
php_admin_value upload_tmp_dir "/web/site1/tmp"
php_admin_value session.save_path "/web/site1/tmp"
</VirtualHost>
После создания конфига нужно сделать сайт активным с помощью команды:
debian:~# a2ensite site1
А затем перечитать конфиги:
debian:~# /etc/init.d/apache2 reload
2.3.3 Sendmail
Почему я вынес Sendmail отдельным пунктом? Потому что по умолчанию он не работал. Пришлось повозится. Я расскажу самый простой способ. Чтобы php умел отправлять письма, проделываем следующие операции.
# file: /etc/php5/apacge2/php.ini [раскомментируем и изменим строку]
++ sendmail_path = /usr/sbin/exim4 -t
Для конфигурации Exim4 (по умолчанию в качестве Mail Transfer Agent используется именно он) существует пакет exim4-config. Воспользоваться им можно так:
debian:~# dpkg-reconfigure exim4-config
После этого вам начнут задавать вопросы. На первый (Общий тип почтовой конфигурации) отвечаем:
- интернет-сайт; прием и отправка почты напрямую, используя SMTP
А далее жмем Enter до конца настройки. Теперь все должно работать.
2.4 vsftpd
Теперь разберемся с FTP. Для работы был выбран vsftpd.
debian:~# apt-get install vsftpd
Далее меняем конфиг:
# file:/etc/vsftpd.conf
listen=YES
# Запрещаем анонимный доступ
anonymous_enable=NO
# Открываем локальным пользователям доступ к домашним директориям по FTP
local_enable=YES
# Разрешаем команды на запись
write_enable=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
ascii_upload_enable=YES
ascii_download_enable=YES
ftpd_banner=Welcome to our FTP service.
# "Запираем" пользователей в домашних папках
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
Говорим демону vsftpd перечитать конфиги:
debian:~# /etc/init.d/vsftpd reload
2.5 MySQL + PostgreSQL
Ставим MySQL
debian:~# apt-get install mysql-server phpmyadmin
Создаем нового пользователя.
debian:~# echo "CREATE USER 'site1'@'localhost' IDENTIFIED BY 'Пароль_для_пользователя_site1'; GRANT USAGE ON * . * TO 'site1'@'localhost' IDENTIFIED BY 'Пароль_для_пользователя_site1' WITH MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 MAX_UPDATES_PER_HOUR 0 MAX_USER_CONNECTIONS 0; CREATE DATABASE IF NOT EXISTS site1 DEFAULT CHARACTER SET utf8 COLLATE utf8_unicode_ci; ; GRANT ALL PRIVILEGES ON site1 . * TO 'site1'@'localhost';" | mysql --user=root --password=Пароль_mysqlroot mysql
Ставим Postgres
debian:~# apt-get install postgressql phppgadmin
Меняем пароль на пользователя postgres:
debian:~# echo "\password" | sudo -u postgres psql
Enter new password: Новый_пароль_postgres
Enter it again: Новый_пароль_postgres
После установки рутового пароля для пользователя postgres нам мнужно поправить конфиг. По умолчанию любой локальный пользователь может запустить psql с правами суперпользователя без ввода пароля. Исправляем.
#file /etc/postgresql/8.3/main/pg_hba.conf
-- local all postgres ident sameuser
-- local all all ident sameuser
++ local all postgres md5
++ local all postgres md5
В /etc/phppgadmin/apache.conf открываем доступ извне.
order deny,allow deny from all allow from 127.0.0.0/255.0.0.0 ::1/128 # allow from all
Меняем на:
order deny,allow
deny from all
allow from 127.0.0.0/255.0.0.0 ::1/128
# allow from all
Говорим apache перечитать конфиги:
debian:~# /etc/init.d/apache2 reload
У постгрес есть один нюанс. Юзеры всегда видят названия соседних БД. Чтобы они не мозолили глаз нашим пользователям в phppgadmin, правим конфиг:
# file:/etc/phppgadmin/config.inc.php
-- $conf['owned_only'] = false; ++ $conf['owned_only'] = true;
Пользователи создаются такой командой:
debian:~# echo "CREATE USER site1 WITH PASSWORD 'Пароль_для_пользователя_site1' NOCREATEDB NOINHERIT NOCREATEUSER ; CREATE DATABASE site1 owner site1;" | sudo -u postgres psql
2.6 Firewall
В нашем случае цели просты — запретить злоумышленнику открывать порты. Поэтому решение будет простым — мы не будем вдаваться в нюансы правил iptables, а воспользуемся пакетом arno-iptables-firewall, который упростит нам жизнь. Он сам спросит нас, что мы хотим во время установки. Ответы на вопросы ниже.
debian:~# apt-get install arno-iptables-firewall
* Do you want to manage the firewall setup with debconf? : Да
* External network interfaces: eth0
* Open external TCP-portrs: 21 22 53 80 443 3128 5432 5001 5900 6881:6889
* Open external UDP-portrs: 53 3130 5001 6881:6889
* Internal network interfaces: <в нашем случае оставляем пустым>
* Соглашаемся на перезагрузку firewall'а.
2.7 Запуск Apache2 в chroot среде [посредством libapache2-mod-chroot]
Что такое chroot'инг? Это создание специальной среды (песочницы), изолированной от окружения. Скажем, процесс apache не должен иметь доступа к папкам home. В тоже время в изолированную среду нужно брать все, что нужно для работы. Самый простой способ — это воспользоваться libapache2-mod-chroot.
debian:~# apt-get install libapache2-mod-chroot debian:~# a2enmod mod_chroot
debian:~# /etc/init.d/apache2 restart
Chroot'инг — это интересная тема с кучей своих проблем, связанных с тем, что помимо apache обычно требуется куча дополнительных программ, библиотек и средств для работы. Поэтому я не буду делать статью в статье, и отправлю Вас на отличный материал по этой теме. Используйте программу ldd и берите с собой в изолированное окружение все, что нужно именно Вам.
sudouser.com/zapusk-web-servera-apache2-v-srede-chroot-v-debian-i-ubuntu.html
2.8 Автоматизация добавления новых пользователей
Начал писать скрипт и понял, что монстр, который может все, будет использовать неудобно. В статье все команды писались так, чтобы их потом просто было засунуть в sh скрипт. Поэтому я думаю, что каждый пользователь за несколько минут легко состряпает сценарий, необходимый и удобный именно ему.
Постскриптум
Буду рад замечаниям. Особенно интересны мысли по поводу chroot. Кто знает простые рецепты?